Die Anforderungen der ISO 27701 zur Datenbereinigung verstehen

Geschrieben von

Sanjeev Yadav linkdin

Veröffentlicht am

Jan 23, 2026

Min Lesen

3 Min

Summary: ISO 27701:2019 hat sich als internationaler Standard für den Datenschutz etabliert und befasst sich mit dem Schutz und der Sicherheit personenbezogener Daten (PII). Datenbereinigung und dauerhafte Datenvernichtung sind wichtige Anforderungen in Datenschutzgesetzen weltweit, und ISO 27701 schreibt dies für die Entfernung personenbezogener Daten und die sichere Entsorgung von Speichermedien vor. Dieser Artikel bietet einen Einblick in die Norm und umreißt die Anforderungen der ISO 27701 für die Datenbereinigung.

ISO 27701:2019 legt Anforderungen fest und bietet Leitlinien für die Einrichtung, Verwaltung und kontinuierliche Verbesserung des Personal Information Management System (PIMS), das im August 2019 eingeführt wurde. Sie erweitert den Anwendungsbereich von ISO 27001 (Information Security Management System, ISMS) und ISO 27002 um den Datenschutz und den Schutz personenbezogener Daten. Die Norm enthält Leitlinien für Verantwortliche und Auftragsverarbeiter von personenbezogenen Daten (PII) zur Verarbeitung personenbezogener Daten, die angepasst werden können, um die Einhaltung globaler Datenschutzstandards wie der Datenschutz-Grundverordnung (DSGVO) und anderer Datenschutzgesetze zu erreichen. Da es sich um eine Erweiterung handelt, müssen Organisationen, die ISO 27701 implementieren möchten, entweder ISO 27001-konform sein oder für beide Normen gleichzeitig zertifiziert sein.

ISO 27001, ISO 27002 und DSGVO: Wie baut ISO 27701 auf deren Erbe auf?

Angesichts der sich ständig weiterentwickelnden Datenschutzgesetze bestand Bedarf an einer Norm, die weltweit befolgt werden kann. ISO 27701 wurde unter Berücksichtigung der Anforderungen globaler Datenschutzgesetze entwickelt, sodass ihre Anpassungsfähigkeit an diese Gesetze eine ihrer größten Stärken ist.

ISO 27001 basiert auf den Prinzipien der CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit), um sensible Informationen und kritische Vermögenswerte zu schützen und eine durchgängige Rechenschaftspflicht und Aufsicht innerhalb einer Organisation zu schaffen. ISO 27002 hingegen ist im Wesentlichen ein Leitfaden für bewährte Verfahren in den Bereichen Informationssicherheit, Cybersicherheit und Datenschutzkontrollen und enthält Richtlinien für die Umsetzung von ISO 27001. ISO 27701 hingegen integriert und baut auf bestehenden Kontrollen aus ISO 27001 und ISO 27002 auf, um ein PIMS zu etablieren, das kontinuierlich verbessert, implementiert und verwaltet wird. Es legt Anforderungen für die Verarbeitung personenbezogener Daten sowohl für Verantwortliche als auch für Auftragsverarbeiter innerhalb eines ISMS fest. Außerdem wird klar zwischen Verantwortlichen und Auftragsverarbeitern unterschieden, für die unterschiedliche Anforderungen gelten. Obwohl sie sich auf dem Papier stark unterscheiden, da die DSGVO eine verbindliche Verordnung und ISO 27701 ein optionales Zertifikat ist, zielen beide darauf ab, den Datenschutz zu stärken. Der Schwerpunkt liegt auf der Vertraulichkeit von Daten, einem robusten Dokumentationsprozess sowie der Bewertung und Minimierung von Risiken.

Obwohl ISO 27701 nicht verbindlich ist, handelt es sich um ein strategisches Instrument, das Unternehmen dabei unterstützt, Vertrauen aufzubauen, Datenschutz-Audits zu vermeiden, die Kundenzufriedenheit zu verbessern und die Anpassungsfähigkeit zu besitzen, um die Einhaltung aller Datenschutzgesetze zu erreichen.

Anforderungen an die Datenbereinigung in ISO 27701

Die bestehenden Kontrollen der ISO 27001 wurden durch PIMS-spezifische Anforderungen und Richtlinien für die Umsetzung ergänzt. Da ISO 27701 an verschiedene Datenschutzgesetze angepasst werden kann, können wir uns auf die in verschiedenen Gesetzen festgelegten Datenbereinigungsprotokolle beziehen. ISO 27001 verlangt in Abschnitt A.8.10 [Löschung von Informationen] die „Löschung von Daten”, wenn diese das Ende ihrer Nutzungsdauer erreicht haben. In ähnlicher Weise verlangen viele Kontrollen in ISO 27701 die Löschung von Daten, wie in den folgenden Abschnitten erwähnt, in denen die Anforderungen von ISO 27701 für die Datenbereinigung festgelegt sind:

1. PIMS-spezifische Leitlinien in Bezug auf ISO 27002 [Abschnitt 6]

[Abschnitt 6.8.2.7] „Die Organisation sollte sicherstellen, dass bei jeder Neuzuweisung von Speicherplatz auf zuvor in diesem Speicherplatz gespeicherte personenbezogene Daten nicht mehr zugegriffen werden kann.”

Sichere Entsorgung zur Wiederverwendung von Geräten: Organisationen müssen sicherstellen, dass auf Medien, die zur Wiederverwendung bestellt wurden, keine personenbezogenen Daten restlich sind. Vor der Neuzuweisung der Medien müssen diese durch logische Vernichtung der Daten mit einer sicheren Datenlöschungssoftware bereinigt werden.

2. Verpflichtung zur Einhaltung der PII-Grundsätze: [Abschnitte 7 und 8]

[Abschnitt 7.3.4] „Die Organisation sollte einen Mechanismus bereitstellen, mit dem betroffene Personen ihre Einwilligung ändern oder widerrufen können.“

Bereitstellung eines Mechanismus zur Änderung oder zum Widerruf der Einwilligung: Kunden haben das Recht, ihre Daten zurückzuziehen, und Organisationen sollten sie darüber informieren und ihnen Möglichkeiten zur Ausübung dieses Rechts bieten. Sobald die Einwilligung widerrufen wurde, sollten diese Daten nicht mehr verarbeitet werden. Die Datenschutzgesetze verlangen die „Löschung von Daten“ innerhalb einer bestimmten Frist, damit sie nicht durch Datenrettung zurückgewonnen werden können.

[Abschnitt 8.3.1] „Die Organisation sollte dem Kunden die Mittel zur Verfügung stellen, um ihren Verpflichtungen in Bezug auf die Grundsätze zum Schutz personenbezogener Daten nachzukommen.“

Verpflichtungen gemäß den PII-Grundsätzen: Die Verpflichtungen zwischen dem Unternehmen und dem Kunden können durch bestehende Verträge, Gesetze oder Vorschriften abgedeckt sein. Diese Verpflichtung erstreckt sich auf die Löschung personenbezogener Daten innerhalb einer bestimmten Frist. Unternehmen können die Einhaltung dieser Vorschriften durch einen softwarebasierten Ansatz zur Datenlöschung nach der Datenrettung erreichen.

3. Datenschutz durch technologisches Design und datenschutzfreundliche Standardeinstellungen [Abschnitte 7 und 8]

[Abschnitt 7.4.5] „Die Organisation sollte personenbezogene Daten entweder löschen oder in eine Form umwandeln, die keine Identifizierung oder Re-Identifizierung der betroffenen Personen mehr zulässt, sobald die ursprünglichen personenbezogenen Daten für die festgelegten Zwecke nicht mehr erforderlich sind.“

Anonymisierung und Löschung personenbezogener Daten am Ende der Verarbeitung: Die Organisation muss sicherstellen, dass personenbezogene Daten unwiderruflich gelöscht werden, sobald sie ihren logischen Zweck erfüllt haben und keine weitere Verarbeitung erforderlich ist. Die Datenschutzgesetze verlangen die Löschung mit zertifizierter Software, die eine Datenrettung unmöglich macht.

[Abschnitt 7.4.8] „Die Organisation sollte über dokumentierte Richtlinien, Verfahren und/oder Mechanismen für die Entsorgung personenbezogener Daten verfügen.“

Entsorgung: Sobald Daten das Ende ihrer Nutzungsdauer erreicht haben, sollte eine robuste Richtlinie zur Datenlöschung vorhanden sein, um eine sichere Datenentsorgung zu gewährleisten. In Übereinstimmung mit den geltenden Datenschutzgesetzen wird eine Medienbereinigung durch logische Zerstörung mit Überschreibungssoftware empfohlen. In einigen Situationen ist auch eine physische Zerstörung erforderlich; die Richtlinie sollte beide Szenarien abdecken.

[Abschnitt 8.4.1] „Die Organisation sollte sicherstellen, dass temporäre Dateien, die als Ergebnis der Verarbeitung personenbezogener Daten erstellt wurden, gemäß dokumentierten Verfahren innerhalb eines festgelegten, dokumentierten Zeitraums entsorgt (z. B. gelöscht oder vernichtet) werden.“

Temporäre Dateien: Diese Dateien enthalten manchmal Identifikatoren für personenbezogene Daten. Aus Datenschutzgründen ist es erforderlich, diese Dateien regelmäßig zu löschen. Die Anordnung der regelmäßigen Löschung von Daten kann für Unternehmen äußerst vorteilhaft sein, da sie ihnen hilft, Vorschriften zu überprüfen und einzuhalten.

[Abschnitt 8.4.2] „Das Unternehmen sollte Mittel zur sicheren Rücksendung, Übertragung und/oder Entsorgung personenbezogener Daten bereitstellen. Es sollte seine Richtlinien auch den Kunden zur Verfügung stellen.“

Rücksendung, Übertragung oder Entsorgung personenbezogener Daten: Personenbezogene Daten erreichen einen Punkt, an dem sie an den Kunden zurückgesendet, an ein anderes Unternehmen übertragen oder sicher entsorgt werden müssen. Der Einsatz von Datenlöschungssoftware für die sichere Löschung kann Unternehmen dabei helfen, die Einhaltung der Vorschriften sicherzustellen.

Softwarebasierte Datenbereinigung: Zur Einhaltung der ISO 27701

Die Zertifizierung nach ISO 27701:2019 soll Unternehmen dabei helfen, Risiken zu minimieren und sich auf die Einhaltung gesetzlicher Vorschriften vorzubereiten. Die Akzeptanz und Anerkennung der ISO macht es für Unternehmen wünschenswert und notwendig, sie zu übernehmen. Die dauerhafte und sichere Datenlöschung gewährleistet die Einhaltung der Anforderungen der ISO 27701 für die Datenbereinigung, indem sichergestellt wird, dass gelöschte Kundendaten und entsorgte Speichergeräte sicher sind und die Daten in keiner Weise wiederhergestellt werden können. Eine dauerhafte Bereinigung kann mit professionellen Tools zur Datenlöschung wie BitRaser erfolgreich durchgeführt werden. Es handelt sich um eine benutzerfreundliche DIY-Software, die die Einhaltung wichtiger Datenschutzgesetze wie CPRA, DSGVO, SOX, HIPAA usw. gewährleistet und die Anforderungen der ISO 27701 für die Datenbereinigung in Unternehmen erfüllt. Die Software entspricht 24 internationalen Standards für die Datenlöschung und kann Mediengeräte sicher und zuverlässig löschen, sodass eine Datenrettung unmöglich ist. Die Software folgt den Best Practices für die Datenbereinigung mit der Erstellung überprüfbarer Prüfpfade, einem Cloud-Repository mit Berichten und Zertifikaten für den weltweiten Zugriff rund um die Uhr und bietet eine vollständige Prüfung, um zu garantieren, dass die Daten selbst mit forensischen Mitteln nicht wiederhergestellt werden können.

Fazit:

Das umfassende Rahmenwerk der ISO 27701 bietet die Struktur, die Unternehmen benötigen, um Datenschutzgesetze einzuhalten, Vertrauen aufzubauen und die öffentliche Wahrnehmung zu verbessern. Diese Zertifizierung kann eine solide Grundlage für Unternehmen bilden, auf der sie aufbauen und Compliance erreichen können. Das zugrunde liegende Prinzip der kontinuierlichen Verbesserung bereitet Unternehmen auf zukünftige Bedrohungen vor und richtet ihre Sicherheitsstrategie entsprechend aus. Die Anforderungen der ISO 27701 an die Datenbereinigung stehen im Einklang mit den wichtigsten Datenschutzgesetzen, und die Zertifizierung nach ISO 27701 würde Organisationen vor unnötigen Risiken, Geldstrafen und Sanktionen schützen.

Was this article helpful?

0

FAQs

Was ist ISO 27701?

ISO 27701 ist eine von ISO/IEC veröffentlichte internationale Norm für die Einrichtung, Verwaltung und kontinuierliche Verbesserung des Personal Information Management System (PIMS). Sie enthält Richtlinien für PII-Verantwortliche und -Auftragsverarbeiter für die Verarbeitung personenbezogener Daten (PII).

Wozu wird ISO 27701 verwendet?

ISO 27701 wird von Organisationen verwendet, um auf bestehenden Kontrollen aus ISO 27001 und ISO 27002 aufzubauen und ein PIMS einzurichten, das kontinuierlich verbessert, implementiert und verwaltet wird, mit spezifischen Anforderungen für die Verarbeitung von personenbezogenen Daten sowohl für Verantwortliche als auch für Auftragsverarbeiter innerhalb eines ISMS.

Was ist der Unterschied zwischen ISO 27001 und ISO 27701?

ISO 27001 basiert auf den Prinzipien der CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit), um sensible Informationen und kritische Vermögenswerte zu schützen und innerhalb einer Organisation Verantwortlichkeiten und Kontrollen zu schaffen. ISO 27701 hingegen integriert und baut auf bestehenden Kontrollen aus ISO 27001 und ISO 27002 auf, um ein PIMS zu etablieren, das kontinuierlich verbessert, implementiert und verwaltet wird.

In welcher Beziehung steht ISO 27701 zur DSGVO?

Die DSGVO ist eine verbindliche Verordnung, während ISO 27701 eine optionale Zertifizierung ist. Beide zielen darauf ab, den Datenschutz zu stärken.

Was ist Datenschutzmanagement und ISO/IEC 27701?

Datenschutzmanagement ist die Methode, mit der eine Organisation personenbezogene Daten erfasst, speichert, verarbeitet und löscht. ISO/IEC 27701 etabliert, verwaltet und verbessert kontinuierlich das Personal Information Management System (PIMS), indem es Richtlinien für Verantwortliche und Auftragsverarbeiter für die Verarbeitung personenbezogener Daten bereitstellt.